Uma ferramenta legítima do Windows conhecida como Advanced Installer tem sido utilizada por hackers desde novembro de 2021 para disseminar malware de mineração de criptomoedas em computadores comprometidos.
De acordo com Chetan Raghuprasad, pesquisador da Cisco Talos, os atacantes utilizam o Advanced Installer para empacotar instaladores de software legítimos, como Adobe Illustrator, Autodesk 3ds Max e SketchUp Pro, com scripts maliciosos. Eles também aproveitam as ações personalizadas dessa ferramenta para executar esses scripts maliciosos nos instaladores de software.
Os alvos dessa campanha parecem estar predominantemente nos setores de arquitetura, engenharia, construção, manufatura e entretenimento. Os instaladores de software usados na campanha estão em francês, indicando um foco em usuários de língua francesa. Isso se deve ao fato de que essas indústrias dependem de computadores com alto poder de processamento gráfico (GPU) em suas operações diárias, tornando-se alvos lucrativos para atividades de cryptojacking.
A análise da Cisco sobre os dados de solicitação de DNS enviados à infraestrutura dos atacantes revela que os ataques se concentraram principalmente na França e na Suíça, com infecções esporádicas nos EUA, Canadá, Argélia, Suécia, Alemanha, Tunísia, Madagascar, Cingapura e Vietnã.
Esses ataques culminam com a implantação de um script do PowerShell chamado M3_Mini_Rat, que provavelmente atua como uma porta dos fundos para baixar e executar outros malwares, incluindo várias famílias de malware de mineração de criptomoedas, como PhoenixMiner e lolMiner.
Acredita-se que técnicas de otimização de mecanismos de pesquisa (SEO) possam ter sido usadas como vetor de acesso inicial para entregar os instaladores de software fraudulentos às máquinas das vítimas.
Uma vez iniciado, o instalador ativa uma série de ataques em estágios subsequentes, que incluem a remoção do cliente M3_Mini_Rat e dos binários do minerador.
O M3_Mini_Rat é um script PowerShell com capacidades de administração remota, focando principalmente no reconhecimento do sistema e no download e execução de outros binários maliciosos, conforme explicado por Raghuprasad. O trojan se comunica com um servidor remoto, mas a natureza exata do malware distribuído através desse processo não é conhecida atualmente, pois o servidor não está respondendo.
As outras duas cargas maliciosas são usadas para minerar criptomoedas sem autorização, aproveitando os recursos da GPU das máquinas. PhoenixMiner é especializado na mineração de criptomoedas Ethereum, enquanto lolMiner é um software de mineração de código aberto que pode extrair duas moedas virtuais simultaneamente.
Além disso, a Check Point alerta sobre um novo tipo de ataque de phishing que faz uso do Google Looker Studio para criar sites falsos de phishing relacionados a criptomoedas, na tentativa de contornar as proteções. Os hackers estão explorando essa estratégia para criar páginas criptografadas falsas com o objetivo de roubar dinheiro e credenciais das vítimas, aproveitando a autoridade associada ao Google. Esses ataques representam um desafio adicional para os serviços de segurança de e-mail, pois podem ser confundidos com comunicações legítimas do Google.
Comments